Плановые обновления безопасности от Microsoft и Oracle


MicrosoftВо вторник 14 октября, корпорация Microsoft и компания Oracle выпустили плановые обновления для своих продуктов.

Так для Microsoft данный выпуск, являющийся полным, исправляет сразу три уязвимости нулевого дня. Восемь бюллетеней безопасности содержат патчи для 24 брешей в:

  • Windows;
  • Internet Explorer;
  • Office;
  • .Net framework.


Из них три являются критическими. Именно по этой причине администраторам необходимо протестировать, а затем установить обновления незамедлительно. Также стоит отметить, что один из бюллетеней исправляет сразу несколько уязвимостей.

За всю историю Microsoft это первый релиз, когда компания выпустила плановые исправления сразу для трех уязвимостей нулевого дня. Так одна из этих уязвимостей эксплуатируется злоумышленниками для осуществления атак при помощи вредоносного ПО Sandworm на системы НАТО и правительств некоторых восточноевропейских государств. Данная брешь закрывается при помощи бюллетеня MS14-060. Установлено, что для успешного осуществления атаки необходимо заставить пользователя открыть файл.

Следующая критическая уязвимость устраняется с помощью бюллетеня MS14-056, который исправляет уязвимость нулевого дня в Internet Explorer. Данная брешь позволяет злоумышленникам обходить песочницу.

Пакет безопасности MS14-058 закрывает брешь в Windows, связанную с обработкой драйверами шрифтов TrueType. Эта уязвимость позволяет злоумышленникам внедрить в шрифт вредоносный код. И когда пользователь посещает сайт с инфицированным шрифтом, Windows осуществляет загрузку пакета шрифтов, а затем в автоматическом режиме выполняет внедренный в него код.


Компания Oracle в свою очередь выпустила плановые патчи, устраняя 154 критических уязвимостей в 44 программных продуктах, причем большинство из них касаются платформы Java.

Так в Java SE были исправлены 25 брешей, из них 22 позволяли злоумышленникам удаленно эксплуатировать компьютеры жертв без взлома его учетных данных. При помощи одной из уязвимостей можно выйти за пределы виртуальной машины, а также выполнить кода на системе при обработке специально оформленного контента. Данному багу был присвоен уровень максимальной опасности по шкале Common Vulnerability Scoring System (CVSS 10.0).

Помимо Java SE, обновление также затрагивает:

  • Java SE Embedded для встраиваемых систем;
  • JavaFX;
  • виртуальную машину JRockit.


Кроме этого, были исправлены:

  • 32 уязвимости - в программных продуктах Oracle Database Server, одной из которых был присвоен рейтинг CVSS 9.0;
  • 17 опасных уязвимостей - в Oracle Fusion Middleware;
  • 4 уязвимости - в Oracle Retail Applications;
  • 15 уязвимостей - в Oracle Sun Systems Product Suite (CVSS 7.8);
  • 24 уязвимости - в Oracle MySQL.

Обновлено (16.10.2014 01:04)